如何以防火牆封鎖IM軟體？

如何以防火牆封鎖IM軟體？
到iT邦幫忙

vamos168（iT邦初學者10級）發問：
如果想封鎖MSN和其他類似的即時通訊軟體，在防火牆上應該如何設定？

januslin（iT邦初學者5級）：
最簡單的作法是擋TCP 443埠跟TCP 1863埠，如果有特別需要使用這兩個埠的人，再開放給他就好了。

建議善用TCP View、CurrPorts、Wireshark等工具，或是花錢購買市面上的UTM設備。但要完全封鎖，UTM的設備還是比較好用，否則一旦使用80埠，像是許多支援Web介面的即時通訊軟體，阻擋規則很難攔得住。

cheng（iT邦初學者6級）：
如果沒有經費買專用設備，可以試著使用下面兩種方法：

第一種方式，你可以更新防火牆韌體，以及防火牆特徵碼，這樣就可以阻擋許多軟體（前提當然是防火牆本身有阻擋IM的功能，不過這已是普遍可見的功能）。

第二種方式，如果要防Web MSN，可以查看這些服務的URL，再列入封鎖清單中。

michaelwan（iT邦初學者10級）：
除非擋下80埠。光用防火牆，阻擋會不夠完整。我們目前會擋下MSN的伺服器IP，雖然不能達100%，但也有明顯的效果了。


zeonfrankcha(iT邦初學者10級）：
其實可以考慮禁止所有人直接連接網際網路，只針對使用得到的網路服務開放。其他人要上網，必須透過公司的代理伺服器存取。這樣的架構，還可以用做網頁管控和病毒、木馬防護，變成公司防毒的第一道防線。

因此你可以把防火牆的代理伺服器的功能啟用。這種做法，使用者的電腦就完全不用再做任何設定。

jachin（iT邦初學者10級）：
一般新的防火牆都有直接封鎖及時通訊軟體的功能，如果是舊的防火牆基本都是靠設定443埠和1863埠來封鎖，然而那是封不住Web MSN和會自動跳埠的Skype。

針對Web MSN，有個手動的方式，是在防火牆觀察上Web MSN連接的網址，再封鎖掉這些特定網址就好。

在防火牆設定是比較消極的做法，另外也可以透過監控方式，在電腦安裝類似「Msn Chat Monitor & Sniffer」的監控軟體，可以側錄特定電腦所有進出封包。記得監控就好，然後口頭去勸說，不要把內容公布，否則會觸犯隱私權。